CALが必要な場合はあれこれといわれてるけど、じゃ「不要なケース」はどれ？というのについてチェックが足りないことが判明。と思って、
Windows Server 2003 ライセンスの概説をあらためて読み直すと以下の文章が…。

Windows Server 2003 では、直接的または間接的 （マルチプレキシングサービス ※） に

Windows Server 2003 へアクセスするユーザーまたはデバイスごとに CAL を取得する

必要があります。ただし、インターネットのみを介してWindows Server 2003 に

アクセスし、アクセスする際に Windows Server 2003 またはその他のアプリケーション

による認証を受けない場合、または一般に公開されている Web サイトを匿名で閲覧する

場合は、CAL を取得する必要はありません。 (※ 「マルチプレキシングサービス」 

とは、ユーザーまたはデバイスからの要求、あるいはその代理で、Windows Server 2003

にアクセスしたり、Windows Server 2003 が提供する各種サービスを使用するソフトウェアや

サービスを指します。)

• Proxyで認証する場合は、おそらくマルチプレクシングサービスの部分に引っかかる。
• 普通にインターネットサーバとして稼動させ、その上でパブリックなWebページを開設するような場合はCAL取得の必要はない
• CALが必要ないケース以外は全てCALが必要となると考えたほうがいい

イントラネットについては認証がなくてもCALが必要になるような風に読める。これについては、別の文献でそのように明記してあるような話がある。

…余計にメンドクセー状態になったような気がします…。